シンガポール:個人情報保護法の改正に向けた動き(1)
長島・大野・常松法律事務所
弁護士 松 本 岳 人
1 はじめに
シンガポールのPersonal Data Protection Act 2012(以下「個人情報保護法」という。)について、消費者の利便性向上及びデジタル経済の成長促進という観点から、新規性及び革新性がある商品やサービスの開発を図るため、データポータビリティに関する規定及びデータイノベーションに関する規定の導入について同法改正の検討が進められていることについては、SH2974 シンガポール:2020年に向けて――個人情報保護法の執行と改正の動向(下) 長谷川良和(2020/01/22)においても紹介されているとおりであるが、2020年5月14日から28日にかけて個人情報保護法の改正法案であるPersonal Data Protection (Amendment) Bill 2020(以下「改正法案」という。)についてパブリックコンサルテーションが実施され、その改正案の詳細が明らかとなった。そこで、本稿では、その主要な改正案の内容について2回に分けて紹介することとしたい。[1]
2 改正法案の概要
改正法案においては、個人情報保護法制定以降のデジタル経済の進展、テクノロジーの進化、グローバルでの規制同項なども考慮して、多岐にわたる改正事項が盛り込まれているが、改正案項目は大きく次の3つの視点において分類される。
⑴ 説明責任の強化
⑵ 個人からの同意枠組みの見直し
⑶ 消費者の情報自治権の拡大
⑴ 説明責任の強化
現行の個人情報保護法においては、個人情報について不正なアクセス、取得、利用、開示、複写、変更、廃棄等の事象が生じた場合(以下「データブリーチ」という。)、個人情報を取り扱う事業者に監督当局等へ当該データブリーチの内容を通知する義務が課せられているわけではない。この点、改正法案においては、個人情報の取扱いについての説明責任の重要性が明確化されることとなり、その一つの表れとしてデータブリーチにより個人への重大な危害等が生じるおそれがある場合には、個人情報保護委員会及び対象となる個人への通知義務が課せられることとされている。
⑵ 個人からの同意枠組みの見直し
現行の個人情報保護法においては、事業者が個人情報を取得、利用、開示等をするためには原則として個人からの同意を必要としている。もっとも、一定の場合に同意が不要となる例外や個人から同意を取得したものとみなされる場合も規定されている。改正法案においては、個人の利益を保護するために個人からの同意取得の意味合いをより実質的な意味合いで捉え直し、同意が必要となる場面を再整理している。とりわけ、次の4つの場面が明確化される点が重要な改正事項となる。
- ① 契約上の必要性のためのみなし同意制度の導入
- 個人との契約や取引の履行等のために第三者への開示や、第三者による利用が合理的に必要となる一定の場合に、個人が同意したものとみなされる制度が導入される。
- ② 通知によるみなし同意制度の導入
- 個人への悪影響が生じないことが見込まれる場合に、合理的なオプトアウト期間を設けた上で、個人情報の利用目的等を通知し、当該個人からオプトアウトの連絡がなかった場合には、個人の同意があったものとみなされる制度が導入される。
- ③ 正当な利益(legitimate interest)のための個人情報の取得、利用及び開示に係る同意取得の例外
- 違法行為の防止や生命、身体の安全の確保など、個人情報の取扱事業者の正当な利益及び公共の利益のための個人情報の取得、利用及び開示であって、それによって生じる利益が、個人が被る不利益よりも大きい場合に、例外的に同意が不要となることが明確化される。
- ④ ビジネス改善目的(business improvement purpose)のための個人情報の利用に係る同意取得の例外
- 適式に同意を得て取得した個人情報を、業務効率化やサービス向上、商品又はサービスの開発や改善、顧客分析といったビジネスの改善に役立てる目的での個人情報の利用について、個人の不利益が生じるおそれがないものであれば、改めて個人の同意を取得せずに合理的な範囲での利用範囲の拡張が認められる。
(2)に続く